== Ältere Inhalte= :Es gibt inzwischen neue Java-Versionen. Die Frage stellt sich deshalb, ob die folgende Diskussion noch gültig ist? :Sind Sicherheitsprobleme mit aktuellen Java-Implementierungen bekannt? :SicherheitsProblemeVonJavaApplets Beispiele: * JavaAppletsImWiki Java-Applets sind gewissermaßen Segen und Fluch von Java. Segen: weil die ersten dynamischen Web-Inhalte mit Hilfe von Java sehr viel Aufsehen erzeugt und Java Popularität verschafft haben. Fluch: weil die Fähigkeiten von Java als universelle Programmiersprache für die allgemeine Applikationsentwicklung in den Hintergrund gedrängt wurden. Zusätzlich sind Java-Applets zu einem schlechten Ruf gekommen. Oft funktionieren sie nicht (wegen mangelhafter Programmierung oder der JavaVersionsProbleme?), und wenn sie funktionieren, dann sind sie meist nur Blickfänger und optischer Klitzerkram. Es läge aber an der Kreativität der Programmierer, dem abzuhelfen. Java-Applets haben IMO noch ein großes ungenutztes technisches Potential. --hl Ein paar Anmerkungen: * Es gibt meines Wissens zur Zeit keine relevanten Sicherheitsprobleme mit Applets. Das Sandboxmodel von Java ist dagegen ein äußerst gelungenes Beispiel, wie man eine gesicherte Ausführungsumgebung erreichen kann (entgegen der Schlampigkeit von Browser-JavaScript und der Hoffnungslosigkeit von ActiveX?) * Applets waren in der Anfangszeit der deutliche Aufmerksamkeitsschwerpunkt bei Java, und trugen zu der Erfolgswelle der Sprache bei, da man von Applets die Weiterentwicklung des statischen HTML-Webs erwartete. * Applets darf man wohl in inzwischen als gescheiterte Technologie betrachten. Der Grund: Inkompatibilitäten zwischen den verschiedenen Browsern, eine unzulängliche GUI-Bibliothek und zu lange Ladezeiten haben schnell Ernüchterung erzeugt (Dass Lynx kein Java beherrscht, hatte wohl keinen großen Einfluß auf die Entwicklung). Vielleicht gab es aber auch gar keinen so großen Bedarf an aktivem clientseitigen Content? * Java auf dem Client ist tot, es lebe Java auf dem Server. Denn inzwischen ging es nicht nur mit Applets bergab, sondern auch mit Java-GUI-Applikationen. Hauptausschlaggebend wohl: Unzureichende Performance (anfänglich), semiprofessionelle GUI-Bibliotheken (immer noch). * Was ist das Applet von heute? Vielleicht Gnutella-Client - wer benötigt schon noch einen Browser als Wirtsumgebung. -- jd Nachtrag zur Appletsecurity: Die offiziellen Antworten von Javasoft: http://java.sun.com/sfaq/ Im Java Security FAQ des Princeton Secure Internet Programming Team wird dieses Thema behandelt. ( http://www.cs.princeton.edu/sip/faq/java-faq.php3) Es werden einige Fälle (der letzte aus dem Oktober 1999) dokumentiert, in denen die Java Sandbox umgangen werden konnte und es Applets erlaubten, beliebigen Code auf dem Client auszuführen. Schuld daran waren fehlerhafte Implementierungen (meistens in der sonst vorzüglichen Microsoft VM) Auf diesen Seiten werden "Hostile Applets" dokumentiert. http://www.cigital.com/javasecurity/applets.html http://www.cigital.com/hostile-applets/ --jd KategorieJava KategorieWebDesign

Ältere Inhalte

Es gibt inzwischen neue Java-Versionen. Die Frage stellt sich deshalb, ob die folgende Diskussion noch gültig ist?

Sind Sicherheitsprobleme mit aktuellen Java-Implementierungen bekannt?

SicherheitsProblemeVonJavaApplets

• JavaAppletsImWiki

Zusätzlich sind Java-Applets zu einem schlechten Ruf gekommen. Oft funktionieren sie nicht (wegen mangelhafter Programmierung oder der JavaVersionsProbleme?), und wenn sie funktionieren, dann sind sie meist nur Blickfänger und optischer Klitzerkram. Es läge aber an der Kreativität der Programmierer, dem abzuhelfen. Java-Applets haben IMO noch ein großes ungenutztes technisches Potential. --hl

Ein paar Anmerkungen:

• Es gibt meines Wissens zur Zeit keine relevanten Sicherheitsprobleme mit Applets. Das Sandboxmodel von Java ist dagegen ein äußerst gelungenes Beispiel, wie man eine gesicherte Ausführungsumgebung erreichen kann (entgegen der Schlampigkeit von Browser-JavaScript und der Hoffnungslosigkeit von ActiveX?)
• Applets waren in der Anfangszeit der deutliche Aufmerksamkeitsschwerpunkt bei Java, und trugen zu der Erfolgswelle der Sprache bei, da man von Applets die Weiterentwicklung des statischen HTML-Webs erwartete.
• Applets darf man wohl in inzwischen als gescheiterte Technologie betrachten. Der Grund: Inkompatibilitäten zwischen den verschiedenen Browsern, eine unzulängliche GUI-Bibliothek und zu lange Ladezeiten haben schnell Ernüchterung erzeugt (Dass Lynx kein Java beherrscht, hatte wohl keinen großen Einfluß auf die Entwicklung). Vielleicht gab es aber auch gar keinen so großen Bedarf an aktivem clientseitigen Content?
• Java auf dem Client ist tot, es lebe Java auf dem Server. Denn inzwischen ging es nicht nur mit Applets bergab, sondern auch mit Java-GUI-Applikationen. Hauptausschlaggebend wohl: Unzureichende Performance (anfänglich), semiprofessionelle GUI-Bibliotheken (immer noch).
• Was ist das Applet von heute? Vielleicht Gnutella-Client - wer benötigt schon noch einen Browser als Wirtsumgebung. -- jd

Die offiziellen Antworten von Javasoft: http://java.sun.com/sfaq/

Im Java Security FAQ des Princeton Secure Internet Programming Team wird dieses Thema behandelt. ( http://www.cs.princeton.edu/sip/faq/java-faq.php3) Es werden einige Fälle (der letzte aus dem Oktober 1999) dokumentiert, in denen die Java Sandbox umgangen werden konnte und es Applets erlaubten, beliebigen Code auf dem Client auszuführen. Schuld daran waren fehlerhafte Implementierungen (meistens in der sonst vorzüglichen Microsoft VM)

Auf diesen Seiten werden "Hostile Applets" dokumentiert. http://www.cigital.com/javasecurity/applets.html http://www.cigital.com/hostile-applets/ --jd